智能制造行业解决方案——制药
安全防护依据

《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)


《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)


《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)


《GB/T 22239-2008信息安全等级保护基本要求》

安全防护原则
典型部署

制药行业作为典型的智能制造控制网络,一般以单个生产车间为单位实现某一个生产工艺,制药行业的发酵车间、提取车间等;


在控制监控层和生产管理层之间、生产管理层和办公网之间部署工业防火墙,进行网络层级间的安全隔离和防护,提高生产控制系统的安全防护能力;


将各生产车间作为一个安全域,在各车间控制网络出口位置部署工业防火墙,对外来访问进行严格控制,以实现重要工控装置的单体设备级安全防护;


在各车间生产网络的核心交换机通过镜像口旁路部署工控安全审计系统,实现对生产网络中网络威胁、违规操作、异常流程等网络攻击行为的实时监控与分析,并可以与集控中心的工控行为追溯系统共享数据;


在生产管理层部署日志审计系统,能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析;


在信息网络层边界部署入侵检测系统,采用旁路部署方式,通过准确监测网络异常流量,自动应对各类攻击流量,及时发现安全威胁;


在各生产车间的操作站、生产控制层及信息网络层部署USB 安全隔离装置,对上位主机的USB接口安全使用进行有效管理,对通过USB接口临时接入生产网络的移动存储设备进行病毒查杀;


各主机终端部署网络版工控主机安全卫士,实现终端进程的可信管理,从根本上提高了工控主机的安全性;


在生产控制层及信息网络层部署一套账号集中管理与审计系统(堡垒机),可以对集中控制中心的工控系统运维过程的安全监控与审计,实现对运维过程的用户管理、授权管理、认证管理和综合审计;


信息网络部署统一安全管理平台,对工控网络中的安全产品进行集中管理、配置和维护,便于综合分析、及时定位问题。